Questa sera alle 22.47 offset italico l'index.php del mio blog e alcune index delle sottocartelle relative sono state modificate illecitamente.
Ho lavorato fino ad adesso per controllare l'integrità dell'hosting e per cercare di capire dove potesse trovarsi la falla di sicurezza.
Il problema sembra ora risolto.
Il mio hosting (Servage) non ha saputo aiutarmi. Anzi, sembra proprio mi abbia preso in giro.
Al mio ticket
Somebody hacked my sites right now.
I find a page modified (Wordpress index) in /blog.hanicker.it/myblog/index.php
Can you give me last modified files log and maybe ip access logs?
Thanks in advance.
mi sono visto rispondere
Hello Nicola,
We are very sorry for the inconvenience faced by you :(
The list of ip addresses logging into your account can be found from the URL XXX . However , I am sorry to say that the last modified files log will not be available from our system.
Thank you
Mi sembra talmente tanto scorretto da parte loro che ho scelto di cambiare hosting (il trasferimento sarà effettuato verso metà marzo).
Ad ogni modo mi sono preparato questo script che mi ha permesso di controllare gli ultimi file modificati e quindi di ripulire le schifezze lasciate in giro, e che spero possa rivelarsi utile anche ad altri.
function listFiles( $from = '.',$lastModifiedFilter="")
{
if(! is_dir($from))
return false;
$files = array();
$dirs = array( $from);
while( NULL !== ($dir = array_pop( $dirs)))
{
if( $dh = opendir($dir))
{
while( false !== ($file = readdir($dh)))
{
if( $file == '.' || $file == '..')
continue;
$path = $dir . '/' . $file;
if( is_dir($path))
$dirs[] = $path;
else
if (!empty($lastModifiedFilter))
if (filemtime($path)>$lastModifiedFilter)
echo $path." | ";
//$files[] = $path;
}
closedir($dh);
}
}
return $files;
}
//Controlla negli ultimi 7 giorni
$from=time()-(3600*24*7);
echo "STARTING";
listFiles("./../../..",$from);
Le mie indagini mi hanno portato a supporre che il baco sia dovuto ad un aggiornamento della versione php di Servage (l'hosting) effettuato a inizio di questa settimana. Assieme a questo ho motivo di credere che anche il plugin super cache recentemente installato sia responsabile. Probabilmente devo rivedere alcuni settaggi e soprattutto i permessi alle cartelle.
Ho inoltre installato il plugin
Wordpress Exploit che ha fatto un ulteriore checkup. Ho modificato password dei database, degli utenti, ecc.
Ecco uno screen del file index modificato:
Controllando i vari script inseriti sembrano modifiche effettuate automaticamente per pubblicizzare dei link.
Alcune ricerche su google hanno individuato dei blog che portano lo stesso codice.
Sperando che ora il problema sia risolto, vi invito a comunicarmi tempestivamente eventuali comportamenti anomali.
Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in .
0 Commenti a “I have been HACKED”